セキュリティおよび分析設定の管理について
GitHub は、組織のリポジトリを保護するのに役立つ場合があります。 組織でメンバーが作成する既存または新規のリポジトリすべてについて、セキュリティおよび分析機能を管理できます。 GitHub Secret Protection or GitHub Code Security のライセンスをお持ちの場合は、これらの機能へのアクセスを管理することもできます。 詳しくは、「GitHub Advanced Security について」をご覧ください。
Note
パブリック リポジトリで既定で有効になっているセキュリティと分析の機能には、無効にできないものがあります。
GitHub-recommended security configuration (organization 内のリポジトリに適用できるセキュリティ有効化設定のコレクション) を使用すると、セキュリティ機能を大規模にすばやく有効にすることができます。 その後、global settings を使うと、organization レベルで Advanced Security の機能をさらにカスタマイズできます。 「大規模なセキュリティ機能の有効化について」をご覧ください。
セキュリティ機能と分析機能を有効にした場合、GitHub はリポジトリで読み取り専用分析を実行します。
Dependabot がプライベート または内部 依存関係にアクセスできるようにする
Dependabot は、プロジェクト内の古い依存関係参照をチェックし、それらを更新するためのプルリクエストを自動的に生成できます。 これを行うには、Dependabot がすべてのターゲット依存関係ファイルにアクセスできる必要があります。 通常、1 つ以上の依存関係にアクセスできない場合、バージョン更新は失敗します。 詳しくは、「GitHub Dependabot のバージョンアップデートについて」をご覧ください。
既定では、Dependabot は、プライベート または内部 リポジトリ、またはプライベート または内部 パッケージ レジストリにある依存関係を更新できません。 ただし、依存関係が、その依存関係を使用するプロジェクトと同じ組織内のプライベート または内部の GitHub リポジトリにある場合は、ホストリポジトリへのアクセスを許可することで、Dependabot がバージョンを正常に更新できるようにすることができます。
コードがプライベート または内部の レジストリ内のパッケージに依存している場合は、リポジトリレベルでこれを設定することにより、Dependabot がこれらの依存関係のバージョンを更新できるようにすることができます。 これを行うには、リポジトリの dependabot.yml ファイルに認証の詳細を追加します。 詳細については、「最上位レベルの registries キー」を参照してください。
Note
プライベートまたは内部のリポジトリへのアクセス権を Dependabot に付与するオプションを使用できるようにするには、organization 内の少なくとも 1 つのリポジトリで Dependabot version updates または Dependabot security updates を有効にする必要があります。
プライベートまたは内部依存関係に Dependabot アクセスを許可する方法の詳細については、「組織のグローバル セキュリティ設定の構成」を参照してください。
Organization 内の個々のリポジトリから GitHub Advanced Security 機能へのアクセスを削除する
security configurations を使うと、organization 内の個々のリポジトリから GitHub Advanced Security 機能へのアクセスを削除できます。 詳しくは、「Advanced Security の有料使用の管理」をご覧ください。